• Non ci sono risultati.

CONTRATTO DI NOMINA A RESPONSABILE DEL TRATTAMENTO

N/A
N/A
Protected

Academic year: 2022

Condividi "CONTRATTO DI NOMINA A RESPONSABILE DEL TRATTAMENTO"

Copied!
10
0
0

Testo completo

(1)

CONTRATTO DI NOMINA A RESPONSABILE DEL TRATTAMENTO

ai sensi dell'art. 28 del Regolamento Generale sulla Protezione dei Dati Personali (GDPR)

tra

Il CISIS (C.F. 96184870580), con sede legale in Roma, Via Piemonte, 39, in persona del Legale Rappresentante pro tempore, dott. Umberto Trivelloni,

il Titolare - e

L’Ing. Fabio Godorecci nato a Napoli il 07/01/1972 e residente a Roseto degli Abruzzi (TE) in via G. D’Annunzio n. 9, Codice Fiscale GDRFBA72A07F839M e P.IVA 01895780672, iscritto all’Ordine degli Ingegneri di Teramo N. 944,

il Responsabile - VISTO il contratto di lavoro autonomo Prot. 143/2020 stipulato tra le parti in data 1 settembre 2020, avente ad oggetto l’espletamento di attività di Responsabile dell’Area Tecnica dei Sistemi Informativi, (di seguito contratto principale) qui da intendersi integralmente richiamato;

CONSIDERATO che le attività oggetto del contratto principale comportano o possono comportare il trattamento di dati personali, ai sensi del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (GDPR) nonché del D. Lgs. 196/2003 e ss.mm.ii recante il Codice in materia di protezione dei dati personali;

VISTO l’art. 4, paragrafo 1, n. 7) del GDPR, che individua il Titolare del trattamento ne “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali […]” e visto altresì l’art. 4, paragrafo 1, n. 8) del GDPR, che identifica il Responsabile del trattamento ne “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”;

(2)

VISTO l’art. 28, paragrafo 1 del GDPR, secondo cui “qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”;

VISTO il Regolamento per l’attuazione del Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali adottato dal CISIS in data 11 marzo 2021 (di seguito Regolamento Interno Privacy CISIS);

CONSIDERATA l’idoneità del Responsabile a fornire le garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del GDPR e garantisca la tutela dei diritti dell'interessato.

SI CONVIENE E SI STIPULA QUANTO SEGUE

Articolo 1

Oggetto, durata, dati personali trattati e categorie di interessati

1. Il presente accordo ha per oggetto la nomina del Responsabile del trattamento limitatamente all’Area Tecnica dei Sistemi Informativi ed il conferimento allo stesso delle istruzioni relative al trattamento dei dati personali. Le attività di trattamento che il Responsabile potrà effettuare sono limitate a quelle strettamente necessarie per il raggiungimento dello scopo del Contratto principale sottoscritto dalle parti in data 1 aprile 2020 Prot. 143/2020, qui integralmente richiamato, in conformità altresì con quanto previsto dal Regolamento Interno Privacy CISIS, ed in particolare, ma non esclusivamente, con le finalità del trattamento indicate all’art. 2 del Regolamento Interno Privacy CISIS.

2. La durata di questa nomina è pari alla durata del contratto principale.

3. Le categorie di dati personali trattati sono:

(3)

• dati identificativi (es. nome, cognome, email);

• dati relativi ai contratti con i fornitori (es. storico acquisti, dati di fatturazione, contabilità e pagamenti)

4. I dati personali raccolti e trattati si riferiscono a:

• referenti del Comitato Permanente Sistemi Statistici;

• dipendenti, collaboratori;

• consulenti;

5. Per la durata del contratto principale, e per le attività in esso disciplinate, tenendo conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, della tipologia di dati personali trattati, delle categorie di interessati nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il contratto principale è integrato dai seguenti punti:

A.

Trattamento all'interno della UE e dello SEE

1. Il Responsabile s’impegna a non effettuare alcun trasferimento di Dati Personali all’estero (i.e. al di fuori del territorio dello SEE) se non previa autorizzazione scritta del Titolare e su istruzione documentata e specifica di quest'ultimo.

B.

Misure tecniche ed organizzative

1. Prima di dare esecuzione alla presente nomina, il Responsabile sarà tenuto ad implementare tutte le misure tecniche ed organizzative adeguate per la protezione dei dati personali ed a consegnare al Titolare un documento che descrive dettagliatamente tutte le misure di sicurezza adottate dallo stesso Responsabile, anche con specifico riferimento all'esecuzione del presente contratto. Tali misure sono soggette allo scrutinio del Titolare ed alla sua previa approvazione. Se approvate dal Titolare, tali misure, cristallizzate nel documento di cui al paragrafo precedente, divengono parte integrante e sostanziale di questo contratto di nomina e s'intendono integralmente richiamate nello stesso. Qualora mediante ispezione o

(4)

revisione il Titolare dovesse constatare la necessità di modificarle, le modifiche saranno apportate di concerto tra le parti.

2. Il Responsabile garantisce la sicurezza del trattamento ai sensi degli artt. 28 par. 3 punto c) e 32 GDPR, in particolare ai sensi dell'art. 5 par. 1 e par. 2 GDPR. Tali misure devono garantire la sicurezza dei dati ed un livello di protezione adeguato al rischio per la confidenzialità, integrità, disponibilità e resilienza dei sistemi. Ai sensi dell'art. 32 par. 1 GDPR, nel valutare il livello di adeguatezza delle misure di sicurezza deve tenersi conto dello stato dell'arte, i costi di realizzazione, la natura, l'oggetto e gli scopi del trattamento, così come la probabilità di una violazione di dati personali e la gravità dei rischi da essa potenzialmente derivanti per i diritti e le libertà delle persone fisiche.

3. Le misure tecniche ed organizzative sono soggette a evoluzione e progresso tecnico e tecnologico. Pertanto, il Responsabile può adottare opportune misure alterative adeguate al mutato contesto tecnologico. In tali casi, il livello di sicurezza del trattamento non può essere ridotto. Ogni modifica sostanziale dev'essere documentata.

C.

Diritti degli interessati

1. Il Responsabile si impegna a cooperare con il Titolare ed a fornire la più ampia assistenza, nei limiti in cui ciò è ragionevole o possibile, al fine di agevolare il Titolare nel riscontro delle richieste degli interessati per l'esercizio dei loro diritti.

2. In particolare, il Responsabile s'impegna a (i) comunicare immediatamente al Titolare ciascuna richiesta pervenutagli dagli interessati in merito all'esercizio dei loro diritti e, se fattibile o del caso, ad (ii) assistere il Titolare nel progettare e implementare tutte le misure tecniche ed organizzative necessarie per rispondere a tali richieste.

3. Fermo restando che la responsabilità di riscontrare e soddisfare le richieste degli interessati grava esclusivamente sul Titolare, il Responsabile può essere incaricato

(5)

di evadere alcune specifiche richieste, sempre che ciò non richieda sforzi sproporzionati e su istruzioni specifiche fornite per iscritto dal Titolare.

D.

Altri obblighi del Responsabile

1. In aggiunta alle previsioni di questo contratto, il Responsabile è tenuto a rispettare tutte i requisiti di legge previsti dagli artt. 28-33 GDPR. A tal fine, il Responsabile garantisce quanto segue:

• Collaborazione con il Responsabile per la Protezione dei Dati Personali (Data Protection Officer, DPO)

Il Responsabile non è tenuto a nominare un DPO.

Il Responsabile, insieme al Titolare, collabora con il DPO nominato dal Titolare, assicurando che sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali e più in generale garantendo l’osservanza di quanto prescritto dalla Sezione 4 del Regolamento (artt. 37–39 GDPR).

• Confidenzialità

Le attività di trattamento regolate da questo contratto di nomina dovranno essere svolte solo da dipendenti, collaboratori o incaricati previamente istruiti dal Responsabile sul corretto trattamento di dati personali e contrattualmente soggetti ad obbligo di confidenzialità ai sensi degli artt. 28 par. 3 (b) e 32 GDPR. Il Responsabile, così come chiunque agisca sotto la sua autorità ed ha abbia accesso a dati personali, non deve trattare dati personali se non è stato istruito in tal senso dal Titolare, anche a mezzo della presente nomina, salvo che per espressa previsione di legge.

• Misure tecniche ed organizzative

Attuazione e rispetto di opportune misure tecniche ed organizzative nel contesto di questo contratto di nomina, ai sensi di quanto specificato dall'art.

32 GDPR. Il Responsabile controlla periodicamente i processi interni e le

(6)

misure tecniche e organizzative per assicurare che il trattamento nella sua area di competenza sia conforme ai requisiti della normativa sulla protezione dei dati personali e dei diritti degli interessati. Il Responsabile garantisce al Titolare la verificabilità delle misure tecniche e organizzative nell'ambito dei suoi poteri di controllo di cui al punto 7 del presente contratto.

• Registri delle attività di trattamento

Il Responsabile, ai sensi dell’art. 30, comma 2 del Regolamento, tiene il registro delle categorie di attività relative al trattamento dei dati personali effettuate per conto del Titolare e, su richiesta, mette tale registro a disposizione del Titolare e/o del Garante per la protezione dei dati personali.

• Collaborazione con le autorità di controllo

Il Titolare ed il Responsabile cooperano, su richiesta, con l'autorità di controllo. Il Titolare è immediatamente informato di tutte le ispezioni e misure eseguite dall'autorità di controllo, nella misura in cui esse si riferiscono alle attività svolte in base a questo contratto. Ciò vale anche nel caso in cui il Responsabile sia sottoposto a o coinvolto in una indagine da parte di un'autorità competente in relazione a violazioni di qualsiasi disposizione in materia di trattamento di dati personali nello svolgimento di attività ai sensi di questo contratto. Nella misura in cui il Titolare sia soggetto a ispezione da parte dell'autorità di controllo, sanzione amministrativa pecuniaria, misura cautelare o procedimento penale, pretesa da parte di un interessato o di terzi o qualsiasi altra azione legale in collegamento con il trattamento di dati da parte del Responsabile ai sensi della presente nomina, il Responsabile farà tutto il possibile per sostenere il Titolare.

E.

Altri responsabili del trattamento

1. Il Titolare autorizza fin d’ora il Responsabile a ricorrere a terzi responsabili del trattamento, in conformità con quanto previsto dall’art. 7.4 del Regolamento Interno

(7)

Privacy CISIS. Gli incaricati ed i sub-responsabili, come richiesto dalla normativa, dovranno essere soggetti ai medesimi obblighi contrattuali contenuti nel presente contratto ai sensi dell'art. 28 par. 4 GDPR.

2. Resta inteso che la comunicazione dei dati ad un terzo responsabile potrà avvenire solo una volta che tutte le condizioni per la nomina di cui al punto (1) del presente paragrafo siano realizzate.

3. Il Responsabile dovrà mantenere aggiornato un elenco degli incaricati e dei sub- responsabili. Qualsiasi modifica a tale elenco deve essere segnalata al Titolare senza indebito ritardo, dando al Titolare la facoltà di opporsi. In caso di opposizione, il Responsabile ha diritto di recedere dal contratto con il Titolare senza preavviso.

4. Il Responsabile risponde integralmente dell'operato dei sub-responsabili nei confronti del Titolare.

5. Qualora un incaricato o un sub-responsabile presti la propria opera al di fuori della UE/SEE, il Responsabile deve garantire la liceità del trasferimento dati al di fuori dello SEE, come descritto all’articolo 2 del presente contratto.

F.

Poteri di controllo del Titolare

1. Il Titolare ha il diritto di svolgere ispezioni o farle svolgere ad un revisore di volta in volta incaricato. Il revisore dovrà valutare il rispetto di questo contratto di nomina da parte del Responsabile nel corso delle proprie attività d'impresa per mezzo di verifiche causali, le quali dovranno di regola essere notificate in anticipo.

2. Il Responsabile deve permettere al Titolare di verificare l'adempimento alle proprie obbligazioni, come previsto dall'art. 28 GDPR. Su richiesta, il Responsabile fornisce al Titolare ogni informazione necessaria nonché, segnatamente, la prova di aver adottato le misure tecniche ed organizzative.

3. La prova dell'adozione di tali misure, che potranno riferirsi anche ad attività non rientranti nell'ambito di questo contrato, potrà essere fornita anche per mezzo di

• conformità a codici di condotta approvati ai sensi dell'art. 40 GDPR;

(8)

• certificazioni emesse in base ad un meccanismo di certificazione approvato ai sensi dell'art. 42 GDPR;

• attuali certificazioni di revisori, relazioni o estratti di relazioni redatte da organismi indipendenti (p. es. revisori, responsabili della protezione dei dati personali, dipartimento della sicurezza IT, revisori della protezione dei dati)

• idonee certificazioni emesse da revisori della sicurezza IT o della protezione dei dati personali

4. Il Responsabile può addebitare al Titolare un compenso di entità ragionevole per l'esecuzione delle ispezioni.

G.

Assistenza al Titolare

1. Il Responsabile assiste il Titolare nell'adempimento degli obblighi relativi alla sicurezza dei dati personali, nella segnalazione di violazioni dei dati, nelle valutazioni d'impatto sulla protezione dei dati e nelle consultazioni preventive di cui agli articoli da 32 a 36 GDPR, tra l'altro:

• garantendo adeguati standard di protezione mediante misure tecniche e organizzative, tenendo conto della natura, delle circostanze e delle finalità del trattamento, della probabilità di violazioni dei dati e della gravità del rischio per le persone fisiche che ne può derivare;

• garantendo l'immediata individuazione delle violazioni;

• riferendo senza indebito ritardo al Titolare ogni violazioni di dati;

• assistendo il Titolare nell'evadere le richieste degli interessati di esercizio dei loro diritti;

(9)

H.

Poteri direttivi del Titolare

1. Il Responsabile non tratta alcun dato personale ai sensi della presente nomina se non su istruzione documentata del Titolare, salvo che sia obbligato a farlo dal diritto dell'Unione o degli Stati membri.

2. Nel caso in cui il Titolare richieda una modifica del trattamento dei dati personali previsto dalle istruzioni documentate di cui al punto 2, il Responsabile informa immediatamente il Titolare qualora ritenga che tale modifica possa comportare violazioni delle disposizioni in materia di protezione dei dati. Il Responsabile può astenersi dallo svolgere qualsiasi attività che possa dar luogo a tale violazione.

I

Responsabilità

1. Ciascuna parte del presente contratto si impegna a risarcire l'altra parte per danni o spese derivanti dal proprio inadempimento colposo del presente contratto, compreso qualsiasi inadempimento colposo commesso dal proprio rappresentante legale, sub-contraenti, dipendenti o altri agenti. Inoltre, ciascuna parte si impegna a tenere indenne l'altra parte da qualsiasi pretesa fatta valere da terzi a causa di o in relazione a qualsiasi violazione colposa commessa dall'altra parte.

2. Resta ferma la previsione dell'art. 82 GDPR.

L.

Distruzione e restituzione dei dati personali

1. Il Responsabile non crea copie o duplicati dei dati ad insaputa e senza il consenso del Titolare, fatta eccezione per le copie di sicurezza, nella misura in cui siano necessarie a garantire la corretta elaborazione dei dati, nonché per i dati la cui conservazione è prevista dalla legge.

(10)

2. A conclusione della prestazione di servizi, a scelta del Titolare, il Responsabile cancella in maniera conforme alla protezione dei dati o restituisce al Titolare tutti i dati personali raccolti ed elaborati ai sensi della presente nomina, a meno che le disposizioni di legge applicabili non richiedano un'ulteriore conservazione dei dati personali.

3. In ogni caso, il Responsabile può conservare tutte le informazioni utili a dimostrare la corretta e conforme esecuzione delle attività di trattamento anche oltre la cessazione del contratto.

4. La documentazione di cui al punto (3) che precede, deve comunque essere conservata dal Responsabile in ottemperanza ai periodi di conservazione previsti dalla legge o altrimenti stabiliti. Il Responsabile può consegnare tale documentazione al Titolare al termine della durata del contratto per sollevarsi dall'obbligo contrattuale di conservazione.

M.

Rinvio

Per quanto non espressamente previsto nel presente accordo, si fa espresso riferimento alla normativa, sia europea sia nazionale, in materia di protezione dei dati personali, nonché al Regolamento Interno Privacy CISIS ed al contratto principale.

Roma, 11 marzo 2021

Il Titolare Il Responsabile

Riferimenti

Documenti correlati

• TIM Spa dichiara di fornire garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del GDPR

Il Responsabile esterno del trattamento deve designare quali persone autorizzate i soggetti ai quali affidare operazioni relative al trattamento e che abbiano accesso

Resta inteso tra le Parti che in caso di violazione: (a) degli impegni di cui al Contratto, (b) delle istruzioni contenute nel presente atto di nomina a Responsabile esterno

a) Conformarsi alle prescrizioni contenute nel presente contratto e a rispettare gli obblighi di legge previsti in materia di trattamento e sicurezza dei dati personali

Il Responsabile mette a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui alla normativa in materia di protezione dei

«Responsabile del Trattamento o Responsabile»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta Dati Personali per conto del Titolare

(ii) assistere il Titolare nel dare seguito alle richieste ricevute. Violazione dei Dati Personali.. 8.1 L’Impresa si impegna a comunicare al Titolare, per iscritto, al momento in

Il Responsabile dichiara sin d’ora di mantenere indenne e manlevato il Titolare da qualsiasi danno, onere, spesa e conseguenza che dovesse derivare al Titolare stesso a seguito